Berlin. Dem Computersystem des Bundestags droht der komplette Crash. Wochenlang flossen Daten ab, der Angriff ist nicht zu stoppen. Rätselraten über die Hintermänner geht weiter.
Dass sie verwundbar sind, wissen die Abgeordneten seit Langem. Wann immer der NSA-Untersuchungsausschuss über vertrauliche Vorgänge diskutiert, verstauen die Mitglieder ihre Handys in Schließfächern. Seit gestern, spätestens, wissen sie, dass nicht allein ihre Mobiltelefone unsicher sind: Das Computer-Netzwerk „Parlakom“ ist „kompromittiert“, wie die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer vertraulichen Sitzung erklärten. Im Klartext: Hoffnungslos verseucht.
Horrorszenarien wurden wahr
Alle Horrorszenarien, über die seit mehr als vier Wochen spekuliert wurde, sind tatsächlich wahr geworden: Das Parlament ist seit dem 8. Mai Ziel eines Hackerangriffs; anderntags flossen schon die ersten Daten ab. Vier Wochen später ist immer noch unklar, wer dahinter steckt, wie viele Daten abgeflossen sind und wer betroffen ist.
Auch interessant
Der Angreifer ist nicht zu stoppen. Ihm ist es gelungen, an Passwörter, Administratorenrechte für die Infrastruktur zu kommen. Er sitzt am Knotenpunkt, der alle 20 000 Computer zusammenfasst. Mithin ist der Bundestag nicht mehr Herr im digitalen Haus. Software und Server müssten ausgetauscht werden und womöglich sogar alle Rechner. Niemand weiß, wie viel Geld das kosten wird; und wie lange es noch vertretbar ist, das ganze System nicht sofort abzuschalten.
Angriff wie aus dem Lehrbuch
Zum Glück beginnt Anfang Juli die parlamentarische Sommerpause. Zuletzt flossen schon weniger Daten ab. Es ist aber gut möglich, dass Schadsoftware erst inaktiv ist und dann „erwacht“. Für den politisch besonders delikaten NSA-Untersuchungsausschuss versichert sein Vorsitzender Patrick Sensburg (CDU), dass die Rechner mit sensiblen Daten gar nicht an „Parlakom“ angeschlossen seien.
Für Geheimdienstexperten war der Angriff schulbuchmäßig. Zunächst wird eine Spionage-Software im Netzwerk installiert – mit ihr ein Fernzugriffsprogramm. Das kontaktiert das System, erteilt dem Rechner Befehle, steuert und überwacht ihn. Zur Verschleierung befinden sich die Systeme meist im Ausland, oft hintereinander geschaltet in mehreren Staaten. Der Standort eines Servers in Osteuropa sagt wenig über den Täter aus.
Gewheimdienstlicher Hintergrund?
Vom „Trojaner“ im Bundestag schließen die Experten auf einen „geheimdienstlichen Hintergrund“. Für den Bundesnachrichtendienst (BND) geht die derzeit größte Gefahr „von staatlichen Akteuren“ aus. Was sie abschöpfen wollen, ist unklar. Nicht nur Passwörter, vertrauliche Dokumente, Gesetzentwürfe und politische Unterlagen kommen infrage. Auch Informationen über Gewohnheiten und das Umfeld von Abgeordneten können nützlich sein, so etwa für Anwerbungsversuche.
Auch interessant
Das Kölner Bundesamt für Verfassungsschutz beobachtet, dass Geheimdienste auch zunehmend mit kriminellen Hackern kooperieren. Das „Outsourcing“ hilft, die Spuren zu verwischen. Vom Verfassungsschutz kam auch der Hinweis, der die Experten des Bundestages auf die Spur brachte. Sie haben das BSI auf den Plan gerufen und auf dessen Empfehlung hin eine private Firma engagiert. Der Generalbundesanwalt ist ebenfalls schon eingeschaltet.
BND warnt seit Langem
Wochenlang drang nicht viel nach außen, weil man dem Angreifer nicht in die Hände spielen wollte. Gestern dann, um 7.30 Uhr, erfuhren die Fraktionen: Das Computernetz ist nicht zu retten, Unterlagen sind unsicher. Das BSI hat Teile des Datenverkehrs über das besser gesicherte Datennetz der Regierung umgeleitet.
Die Geheimdienste dürften sich bestätigt fühlen. Sie warnen seit Langem vor Cyber-Attacken. Der BND hat im Februar 2013 die Cyber-Expertise in eine Unterabteilung zusammengeführt. Die technische Fernaufklärung trägt die Bezeichnung „SIGINT Support to Cyber Defense“ (SSCD). Sie ist ein Frühwarnsystem. Es sucht nach Schadsoftware mit Hinweisen, die Geheimdienste verraten. Das sei so, hat BND-Präsident Gerhard Schindler mal erklärt, als suche man auf einer stark befahrenen Autobahn ein Fluchtfahrzeug mit Diebesgut. „Manchmal haben wir nur das Kennzeichen, manchmal vielleicht nur die Autofarbe.“ Idealerweise fange man das Fluchtfahrzeug ab, bevor es das Diebesgut aufnehme. Die SSCD-Strategie setzt einen internationalen Verbund voraus. Je mehr Dienste ihre Fühler ausstrecken, umso mehr Cyber-Angriffe werden entdeckt.
Auf Geheimdienste angewiesen
Hier wird es politisch. Im Zuge der Aufklärung der NSA-Affäre steht die internationale Zusammenarbeit auf dem Prüfstand. Der Bundestag erfährt nicht nur seine Verwundbarkeit, sondern auch, wie sehr er auf die Geheimdienste angewiesen ist. Bisher regelt das Parlament seine Sicherheit selbst. Es ist eine Frage der Gewaltenteilung, dass das BSI vielleicht zu Rate gezogen und im Notfall eingeschaltet wird, aber der Verfassungsschutz wurde zum Beispiel kaum eingebunden, obwohl er für die Spionageabwehr zuständig ist.
Nun soll der Verfassungsschutz zwar vom BSI informiert werden, aber nicht innerhalb des IT-Systems (Abgeordnetenbüros, Fraktionen, Verwaltung) des Bundestages tätig werden. Darauf ließ sich auch die zögernde Opposition ein. Die Union hatte sie gewarnt, die Cyber-Attacke sei „kein Thema, das sich zum Politisieren eignet.“ Die Probe steht schon heute im Bundestag an. Auf der Tagesordnung: Das IT-Sicherheitsgesetz.